/u/66501/A_bitaeniatum-3.png?f=community)
Hallo,
Ik heb sinds kort het beheer over een webserver. Veel bestanden worden ge-upload via ftp, met een system-user, terwijl apache als user nobody ook bestanden wil aanmaken. Vaak is de "oplossing" om directories dan maar op 777 te zetten.
Nou is het vast ook mogelijk om alle ftp gebruikers ook lid van groep nobody te maken, en alle bestanden automatisch eigendom van groep nobody te maken, terwijl directories dan standaard een permissie van 775 krijgen (bestanden 664).
Maar feitelijk, als je in beide situaties (dirs op 777, of alles 775 van nobody) in weet te breken op de webserver (via het CMS, wat waarschijnlijk het zwakste punt is), dan ben je nobody en heb je in beide gevallen overal rechten. Of eigenlijk, in het eerste geval alleen op de directories en bestanden van 777, in het tweede geval van alles.
De eerste en huidige situatie lijkt dus wat bewerkelijker, maar wel veiliger.
Wat is hier de best-practice? Hoe gaan jullie hier mee om?
Ik heb sinds kort het beheer over een webserver. Veel bestanden worden ge-upload via ftp, met een system-user, terwijl apache als user nobody ook bestanden wil aanmaken. Vaak is de "oplossing" om directories dan maar op 777 te zetten.
Nou is het vast ook mogelijk om alle ftp gebruikers ook lid van groep nobody te maken, en alle bestanden automatisch eigendom van groep nobody te maken, terwijl directories dan standaard een permissie van 775 krijgen (bestanden 664).
Maar feitelijk, als je in beide situaties (dirs op 777, of alles 775 van nobody) in weet te breken op de webserver (via het CMS, wat waarschijnlijk het zwakste punt is), dan ben je nobody en heb je in beide gevallen overal rechten. Of eigenlijk, in het eerste geval alleen op de directories en bestanden van 777, in het tweede geval van alles.
De eerste en huidige situatie lijkt dus wat bewerkelijker, maar wel veiliger.
Wat is hier de best-practice? Hoe gaan jullie hier mee om?